Imagina formar parte de una organización que maneja grandes cantidades de información sensible, que se ha dotado por ello de estrictos protocolos de seguridad… y que todo se vaya al traste porque alguien teclea mal un dominio. Ahora imagina que ese mismo error se repite no una, sino millones de veces, durante más de una década, y que aun así la organización no toma cartas en el asunto.
'Qué chapuza', pensaréis. Ahora imagina que el problema está a punto de agravarse, porque toda esa información involuntariamente filtrada, que durante todo este tiempo le ha ido llegando a alguien sin un interés especial en la misma, está a punto de empezar a llegarle a un socio de su principal competidor.
La cosa empeora, ¿verdad? Pues vayamos un paso más allá, pero esto no hace falta que lo imaginéis, porque es la pura realidad: esa organización tan chapucera es el Ejército de los Estados Unidos, y ese socio de su principal competidor es la República de Mali, aliada de Rusia.
¿Qué clase de error puede cometer alguien al teclear para que un correo que debe recibir el ejército estadounidense termine en un servidor de Mali?
Bueno, pues en realidad es muy sencillo: los organismos militares de EE.UU. hacen uso de la extensión de dominio .mil (abreviatura de 'militar'), mientras que la extensión de dominio correspondiente a Mali es… '.ml'.
Imagínate ver cómo se filtran miles de secretos militares (documentos diplomáticos, declaraciones de impuestos y detalles de viaje de altos oficiales) porque a tu gente no se le mete en la cabeza que tiene que teclear una 'i'.
Lo que ha evitado hasta ahora una catástrofe para los EE.UU. es que los dominios .ml estaban siendo gestionados por una compañía con sede en Países Bajos, Mali Dili, a modo de subcontrata.
De hecho, fue su propietario, Johannes Zuurbier, quien descubrió el problema y se lo notificó a las autoridades estadounidenses… las cuales no parecen haber estado demasiado preocupadas en estos años. Como afirmó Zuurbier en una carta reciente a las autoridades de EE.UU.,
"Este riesgo es real y podría ser aprovechado por adversarios de Estados Unidos".
Cuando Zuurbier, que ya ha realizado tareas similares para gestionar los dominios de Tokelau, la República Centroafricana, Gabón y Guinea Ecuatorial, asumió la gestión del de Mali en 2013, se dio cuenta rápidamente del alto número de solicitudes para dominios como army.ml y navy.ml, que no existían.
Sospechando que se trataba en realidad de correos electrónicos, configuró un sistema para capturar cualquier correspondencia de este tipo. Al ver lo que eran, dejó de recopilar mensajes, "por si acaso los helicópteros negros aterrizaran en mi patio trasero", e intentó infructuosamente que los EE.UU. hicieran algo al respecto.
El problema es que el contrato entre las autoridades malienses y la compañía Mali Dili finaliza dentro de una semana, y no va a ser renovado: el gobierno del país africano tiene previsto empezar a gestionar directamente el dominio. Y es el mismo gobierno que hace sólo unas semanas decretó el fin de una operación de los 'cascos azules' de la ONU para que fueran sustituidos por militares rusos.
Así que sí, los militares estadounidenses deberían estar al menos un poco preocupados por su seguridad.
De hecho, un reportaje publicado ayer por el Financial Times muestra cómo, entre los 117.000 mensajes de envío erróneo recopilados desde enero por Zuurbier, se encuentra información tan sensible como el itinerario de viaje del general James McConville, jefe de personal del ejército de Estados Unidos, en un viaje a Indonesia —así como de las 20 personas de su séquito y de detalles concretos sobre su alojamiento en aquel país—:
El FT desvela la información desvelada por los correos mal dirigidos. Aquí, detalles sobre el alojamiento del general McConville en Indonesia.
"El contenido [de todos esos mensajes] incluye radiografías y datos médicos, información de documentos de identidad, listas de tripulaciones de barcos, listas de personal en bases, mapas de instalaciones, fotos de bases, informes de inspección naval, contratos, denuncias penales contra el personal, investigaciones internas sobre acoso, itinerarios de viaje oficiales, reservas y registros fiscales y financieros".
Un ejemplo concreto desvelado por el Financial Times es el de un agente del FBI que intentó reenviar seis mensajes a su correo electrónico militar, pero los envió accidentalmente a Mali: uno de los mensajes incluía una carta diplomática urgente de Turquía al Departamento de Estado de EE. UU. sobre posibles operaciones del Partido de los Trabajadores de Kurdistán (PKK) contra intereses turcos en Estados Unidos.
El FT desvela la información desvelada por los correos mal dirigidos. Aquí, una comunicación sobre amenazas terroristas procedente de la embajada turca en Washington.
El mismo agente también reenvió una serie de informes sobre terrorismo interno en Estados Unidos marcados como "Solo para uso oficial" y una evaluación global de contraterrorismo titulada "No apta para su divulgación al público o a gobiernos extranjeros". Y va y se lo manda al administrador de dominios de Mali. En las películas no nos los pintan así a sus agentes…
No es cosa sólo de los militares estadounidenses
Por supuesto, no todo es culpa de los militares estadounidenses, sino también de sus proveedores (por ejemplo, agencias de viaje) y contratistas privados que intentan enviarles información sensible vía e-mail y terminan cometiendo el mismo error con la extensión de dominio.
El reportaje también menciona casos de otros ejércitos occidentales, como los propios Países Bajos, que han sufrido los mismos problemas de seguridad: en su caso, por utilizar el dominio '.nl' (de Nederlands), mucho más fácil aún de confundir con '.ml' (mismo número de letras, la 'm' y la 'n' están juntas en el teclado…).
Dado que tanto Países Bajos como EE.UU. son miembros de la OTAN, la filtración de información sensible también afecta a España (por no mencionar que compartimos con Países Bajos múltiples iniciativas europeas de cooperación militar).
Imagen | Marcos Merino mediante IA
Ver 8 comentarios